• 융합보안논문지
• /
• 제20권5호
• /
• pp.27-32
• /
• 2020

Windows Event Log에는 시스템의 전반적인 동작들을 정의하고 있는 Log이며, 해당 파일에는 사용자의 여러 행위 및 이상 징후를 탐지할 수 있는 데이터가 저장되어 있다. 하지만 행위마다 Event Log가 발생함으로써, 로그들을 분석할 때, 상당한 시간이 소요된다. 따라서 본 연구에서는 NSA에서 발표한 "Spotting the Adversary with Windows Event Log Monitoring"의 주요 Event Log 목록을 바탕으로 XML 기반한 Event Log 분석 도구를 설계 및 구현 하였다.

• 디지털융복합연구
• /
• 제10권5호
• /
• pp.223-232
• /
• 2012

최근 개인정보에 대한 유출과 침해행위가 급증하면서 악의적인 목적의 피해사례가 급증하고 있다. 대부분의 사용자가 윈도우즈 운영체제를 사용하고 있으며, 최근 Windows 7 운영체제가 발표되면서 Windows 7 OS 환경에서의 침해대응 기법에 대한 연구가 필요하다. 현재까지 개발된 침해사고 대응 기법은 대부분 Windows XP 또는 Windows Vista를 중심으로 구현되어 있다. 윈도우즈 운영체제에서 시스템 침해사고를 효율적으로 분석하기 위해서는 시스템에서 생성되는 이벤트 정보의 시간정보 및 보안 위협 가중치 정보를 중심으로 이를 시각적으로 분석할 필요가 있다. 따라서 본 논문에서는 최근 발표된 Windows 7 운영체제에서 생성되는 시스템 이벤트 정보에 대해 시각적으로 분석하고 이를 통해 시스템 침해사고를 분석할 수 있는 시스템을 설계 및 구현하였다. 본 논문에서 개발된 시스템을 이용할 경우 보다 효율적인 침해사고 분석이 가능할 것으로 예상된다.

• The Journal of Asian Finance, Economics and Business
• /
• 제8권12호
• /
• pp.1-7
• /
• 2021

The study examines the influence of COVID-19 on the stock market returns of Saudi Arabia. The data was analyzed through event study methodology using daily price data of Tadawul All Share Index (TASI). The study examines the behavior pattern of the Saudi Arabian stock market in different phases during the event period by selecting six-event windows with a range of 10 days. The results report a negative Abnormal Return (AR) of -0.003 on the event date, while the abnormal returns reversed the next day to 0.005 positively. The result of Cumulative Abnormal Return (CAR) is negative and significant at the 1 percent level in all the six-event windows starting from the event date to day 59 after the event for the TASI index. Even though the influence of the COVID-19 pandemic decreased after 30 days of the event date, it increased during the last ten days of the event window. The stock market volatility of Saudi Arabia increased during the post-event period compared to the pre-event period with a negative mean return of -0.326 and a greater standard deviation. In a conclusion, the study found a significant influence of the COVID-19 pandemic on the stock market returns of TASI.

• 정보보호학회논문지
• /
• 제28권3호
• /
• pp.591-603
• /
• 2018

윈도우 이벤트 로그는 윈도우 운영체제에서 시스템 로그를 기록하는 형식이며, 시스템 운영에 대한 정보를 체계적으로 관리한다. 이벤트는 시스템 자체 또는 사용자의 특정 행위로 인해 발생할 수 있고, 특정 이벤트 로그는 기업 보안 감사, 악성코드 탐지 등에 사용될 수 있다. 본 논문에서는 기업 보안 감사 및 악성코드 탐지와 관련된 이벤트 로그(외부장치 연결, 응용 프로그램 설치, 공유 폴더 사용, 프린터 사용, 원격 연결/해제, PC 시작/종료, 로그온/오프, 절전모드, 네트워크 연결/해제, 이벤트 로그 삭제, 시스템 시간 변경, 파일/레지스트리 조작, 프로세스 생성, DNS 질의, 윈도우 서비스 추가)들을 선정하고, 발생하는 이벤트 ID를 분류 및 분석하였다. 또한, 기존의 이벤트 로그 분석도구는 EVTX 파싱 기능만을 포함하고 있어 이를 포렌식 수사에 이용할 경우 사용자의 행적을 추적하기 어렵다. 이에 본 연구에서 새로운 분석도구를 구현하였으며, EVTX 파싱과 행위 분석이 가능하다.

• Journal of Information Processing Systems
• /
• 제17권4호
• /
• pp.772-786
• /
• 2021

The process of tracking suspicious behavior manually on a system and gathering evidence are labor-intensive, variable, and experience-dependent. The system logs are the most important sources for evidences in this process. However, in the Microsoft Windows operating system, the action events are irregular and the log structure is difficult to audit. In this paper, we propose a model that overcomes these problems and efficiently analyzes Microsoft Windows logs. The proposed model extracts lists of both common and key events from the Microsoft Windows logs to determine detailed actions. In addition, we show an approach based on the proposed model applied to track illegal file access. The proposed approach employs three-step tracking templates using Elastic Stack as well as key-event, common-event lists and identify event lists, which enables visualization of the data for analysis. Using the three-step model, analysts can adjust the depth of their analysis.

• 한국통신학회논문지
• /
• 제21권9호
• /
• pp.2415-2421
• /
• 1996

본 논문에서는 고속 통신망에서의 멀티캐스트를 위한 고속 수송 프로토콜 XTP(Xpress Transport Protocol) Rev 4.0 을 Windows NT 상에 구현하고 그 성능을 평가하였다. 프로토콜은 이벤트(Event) 구동 방식으로 설계되었으며, 성능향상을 위해 커널 내부에 네트워크 드라이버의 형태로 구현하였다. 구현된 프로토콜의 기능은 LAN 환경하에서 Windows NT 응용 프로그램들로 테스트되었으며, TCP와 성능비교를 수행하였다.

• 융합보안논문지
• /
• 제18권3호
• /
• pp.77-85
• /
• 2018

제어시스템은 공공 네트워크와의 통신망 융합에 따라 다양한 루트를 통해 정보유출 및 변조 등의 위협이 제어시스템에서도 그대로 나타날 수 있다. 최근 다양한 보안에 대한 이슈와 새로운 공격기법에 의한 침해 사례가 다변화됨에 따라서, 단순히 차단 및 확인 등의 학습을 통해 정보를 데이터베이스화하는 보안 시스템으로는 새로운 형태의 위협에는 대처하기 힘들어지고 있다. 현재 제어시스템에서는 이처럼 외부에서 내부로의 위협에 치중하여 보안 시스템을 운용하고 있으며, 보안 접근 권한을 가진 내부자에 의한 보안위협 탐지에 대해서는 미비한 실정이다. 이에 따라 본 연구에서는 NSA에서 발표한 "Spotting the Adversary with Windows Event Log Monitoring"의 주요 Event Log 목록을 토대로 중요도 분석을 실시하였다. 그 결과 제어시스템에 내부자 위협탐지를 위한 Event Log의 중요도 여부를 알 수 있었으며, 분석결과를 바탕으로 이 분야의 연구에 기여할 수 있을 것으로 판단된다.

• 산업융합연구
• /
• 제1권1호
• /
• pp.127-142
• /
• 2003

This Study examines the implications for event studies using the daily stock data. The output present the event study results. The event period is defined from 30 days before through 30 days after the event date, and is broken into four "windows" for abnormal return cumulation: the pre-event period, days -30 through -2; dajys -1 and 0, a period commonly investigated for the immediate impact of the event; and the post-event period, days +1 through +30. It shows how firm's information offerings affect the price process and consequent issues. The Patell Z test is an examples of a standardized abnormal return approach, which estimate a separate standard error for each security-event and assumes cross-sectional independence. The generalized sign test adjusts for the fraction of positive abnormal returns in the estimation period instead of assuming 0.5.

• 한국시뮬레이션학회논문지
• /
• 제3권2호
• /
• pp.15-25
• /
• 1994

Efficient event evaluation and propagation techniques are proposed to enhance the advancement of simulation clocks of conservative and optimistic logic simulation protocols on parallel processing environments. The first idea of the techniques proposed in this paper is to allow more than one event evaluation per simulation cycle and to pack more than one propagation event in a single message. The second idea is to use advancement windows resulted in good performance in parallelism and execution times.

• Journal of information and communication convergence engineering
• /
• 제18권1호
• /
• pp.16-21
• /
• 2020

Owing to the convergence of the communication network with the control system and public network, security threats, such as information leakage and falsification, have become possible through various routes. If we examine closely at the security type of the current control system, the operation of the security system focuses on the threats made from outside to inside, so the study on the detection system of the security threats conducted by insiders is inadequate. Thus, this study, based on "Spotting the Adversary with Windows Event Log Monitoring," published by the National Security Agency, found that event logs can be utilized for the detection and maneuver of threats conducted by insiders, by analyzing the validity of detecting insider threats to the control system with the list of important event logs.